前言：2020年2月20日，國家信息安全漏洞共享平臺(CNVD) 發(fā)布了【CNVD-2020-10487 Apache Tomcat文件包含漏洞】漏洞通告。Apache Tomcat服務器存在文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件或源代碼等重要內(nèi)容，存在高危風險。

關(guān)于Apache Tomcat

Tomcat 服務器是基于Apache許可證下開發(fā)的自由軟件，由Apache軟件基金會下屬的Jakarta項目開發(fā)的一個Servlet容器，實現(xiàn)了對Servlet和JavaServer Page（JSP）的支持，并提供了作為Web服務器的一些特有功能，如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。

作為免費的開放源代碼的Web 應用服務器，Tomcat在輕量級應用服務器領(lǐng)域有廣泛的部署和應用。通過公開途徑檢索使用AJP協(xié)議的主機，全中國有210981臺服務器正在使用受影響的AJP協(xié)議。

漏洞詳情

Apache Tomcat 的AJP協(xié)議存在缺陷，由于不安全的權(quán)限控制，通過AJP Connector可以直接操作應用內(nèi)部數(shù)據(jù)或文件，從而觸發(fā)文件包含漏洞；惡意攻擊者可以通過該協(xié)議端口（默認8009）提交構(gòu)造的攻擊代碼，成功利用該漏洞能夠獲取目標系統(tǒng)敏感文件（如/etc/passwd、應用配置文件等），甚至能夠通過該漏洞包含可控的上傳文件，執(zhí)行上傳文件中的惡意代碼，獲取服務器和系統(tǒng)的管理權(quán)限。

漏洞影響的Apache Tomcat版本范圍

l Tomcat 6

l Tomcat 7.* < 7.0.100

l Tomcat 8.* < 8.5.51

l Tomcat 9.* < 9.0.31

修復建議

1) Apache官方已發(fā)布針對此漏洞的更新版本，

建議用戶及時升級到已修復漏洞的版本

7.0.100/8.5.51/9.0.31，官方下載鏈接：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

2) 或采取臨時緩解措施加固系統(tǒng)，禁用AJP協(xié)議端口：

在conf/server.xml配置文件中注釋掉

///默認端口為8009，用戶請根據(jù)實際情況進行修改

漏洞免費在線檢測

1. 在漏洞公開后， 聯(lián)軟科技安全實驗室人員第一時間響應，UniCSM網(wǎng)絡空間資產(chǎn)測繪系統(tǒng)（SaaS）平臺已支持針對CNVD-2020-10487漏洞進行在線檢測。

2. 運行Apache Tomcat軟件的客戶可以聯(lián)系我們免費檢測。

【參考鏈接】

1. 國家信息安全漏洞共享平臺-CNVD-2020-10487

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

2. Apache Tomcat 官方鏈接：http://tomcat.apache.org/